CB DefenseのStreaming Preventionについて
はじめに
CB Defenseは、クラウド上でビッグデータの解析の一つであるイベントストリーミング処理を利用してリアルタイムにファイルだけでなく、イベントの流れ(関係性)を分析してセキュリティリスクを判断するStreaming Prevention(以下、ストリーミングプリベンション)機能を採用しています。ストリーミングプリベンションとは
CB Defenseの特長的な防御機能として、Carbon Black社の特許技術「ストリーミングプリベンション」があります。ストリーミングプリベンションは、一般的にクレジットカードの不正使用の防止に利用される異常状態検知技術を、コンピューターのセキュリティ製品に応用した技術となります。
Carbon Black社では、コンピューターへの攻撃者が利用する攻撃手法を長年にわたって収集・分析し、戦術(Tactics)、手法(Technique)、手順(Procedures)という形態で、約120種類の「TTP」に分類しました。
各端末に導入されたCB Defenseのセンサー(エージェント)によって収集されたTTPを含むイベント情報は、CB Defenseクラウドにアップロードされ、クラウド上でのTTPの脅威分析によって端末への攻撃を検知します。
TTPの脅威分析を利用したストリーミングプリベンションの特長は、1プログラムの動作や振る舞いだけで検知/判定するものではなく、複数のプログラムにまたがって実施される攻撃などの検知も可能とします。そのため端末上の既存ツールを活用したファイルレス攻撃や、未知のマルウェアによる攻撃、さらに端末の脆弱性を突いた侵入や攻撃なども検知を可能とします。
さいごに
ストリーミングプリベンションがどのように動作するのかを動画で説明しておりますので、ぜひこちらもご覧になってください。この動画では、子供がクレヨンを手に入れたところでは別に脅威にはなりませんが、机に置いてある紙を無視して通り過ぎた時点で、「もしかしたら違うところに落書きする可能性があるのかもしれない」と予測して、脅威レベルを一段と格上げしています。さらに、白い壁の前に立ってクレヨンを握った手を挙げた途端に「壁に落書きをするつもりだ!」と検知し、脅威レベルをさらに引き上げることで落書きする前に被害を未然に止めたという例になります。
関連リンク
VMware Carbon Black Cloud Endpoint Standardとは
VMware Carbon Black Cloud Endpoint Standard(旧CB Defense、以下Endpoint Standard)は、あらゆるサイバー攻撃からコンピューターを保護する次世代アンチウイルス+EDRソリューションです。マルウェア攻撃だけでなく、メモリやPowerShellなどスクリプト言語を悪用する非マルウェア(ファイルレス)攻撃などをブロックするとともに、万一の際にも侵入状況の把握やその対応を行うことができます。
詳しくはこちら
様々な企業が「VMware Carbon Black Cloud」を活用しています
株式会社ユーシン精機様
運用負荷をかけることなく、24時間365日エンドポイントセキュリティ強化を実現
スマートニュース株式会社様
脅威を分かりやすく可視化 運用も容易な次世代アンチウイルス+EDRを選択
HRBrain様
CB Defense導入の決め手になったのは、「Mac対応」と「EDR」が次世代アンチウイルスに統合されていた点
NTTスマイルエナジー様
CB Defenseの導入で「マルウェア等の最新の脅威から守られているという安心感」を得ることができた
サイバネットシステム株式会社 ITソリューション事業部 - カテゴリ別
- 製品別
- ソリューション別